Edge for Private Cloud Version 4.17.09
Standardmäßig unterstützen der Router und der Message Processor die TLS-Versionen 1.0, 1.1, 1.2. Sie können jedoch die vom Router und Message Processor unterstützten Protokolle einschränken. In diesem Dokument wird beschrieben, wie das Protokoll auf dem Router und Message Processor global festgelegt wird.
Für den Router können Sie auch das Protokoll für einzelne virtuelle Hosts festlegen. Weitere Informationen finden Sie unter TLS-Zugriff auf eine API für die Private Cloud konfigurieren.
Für den Message Processor können Sie das Protokoll für einen einzelnen TargetEndpoint festlegen. Weitere Informationen finden Sie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren.
TLS-Protokoll auf dem Router festlegen
Um das TLS-Protokoll auf dem Router festzulegen, legen Sie die Attribute in der Datei router.properties fest:
- Öffnen Sie die Datei router.properties in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:
> vi /opt/apigee/customer/application/router.properties - Legen Sie die Eigenschaften wie gewünscht fest:
# Mögliche Werte sind eine durch Leerzeichen getrennte Liste mit Folgendem: TLSv1 TLSv1.1 TLSv1.2
conf_load_Balancing_load.Balancing.driver.server.ssl.protocols=TLSv1.2 - Speichern Sie die Änderungen.
- Achten Sie darauf, dass die Attributdatei dem Benutzer „apigee“ gehört:
> chown apigee:apigee /opt/apigee/customer/application/router.properties - Starten Sie den Router neu:
> /opt/apigee/apigee-service/bin/apigee-service-Edge-Router-Neustart - Prüfen Sie, ob das Protokoll korrekt aktualisiert wurde. Prüfen Sie dazu die Nginx-Datei /opt/nginx/conf.d/0-default.conf:
> cat /opt/nginx/conf.d/0-default.conf
Überprüfen Sie, ob für ssl_protocols der Wert TLSv1.2 festgelegt ist. - Wenn Sie Zwei-Wege-TLS mit einem virtuellen Host verwenden, müssen Sie auch das TLS-Protokoll im virtuellen Host festlegen, wie unter TLS-Zugriff auf eine API für die Private Cloud konfigurieren beschrieben.
Legen Sie das TLS-Protokoll auf dem Message Processor fest
Um das TLS-Protokoll für Message Processor festzulegen, legen Sie Attribute in der Datei message-processor.properties fest:
- Öffnen Sie die Datei message-processor.properties in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:
> vi /opt/apigee/customer/application/message-processor.properties - Legen Sie die Attribute wie gewünscht fest:
# Mögliche Werte sind eine durch Kommas getrennte Liste von TLSv1, TLSv1.1, TLSv1.2
conf/system.properties+https.protocols=TLSv1.2
# Mögliche Werte sind eine durch Kommas getrennte Liste von SSLv3, TLSv1, TLSv1.1 und TLSv1.2
# Verwenden Sie SSLv3.
conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
#Konfigurieren Sie die vom Nachrichtenprozessor zu unterstützenden Chiffren: - Speichern Sie die Änderungen.
- Achten Sie darauf, dass die Attributdatei dem Benutzer „apigee“ gehört:
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - Starten Sie den Meldungsprozessor neu:
> /opt/apigee/apigee-service/bin/apigee-service-Edge-Message-processor-Neustart - Wenn Sie mit dem Back-End Zwei-Wege-TLS verwenden, legen Sie das TLS-Protokoll im virtuellen Host fest, wie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren beschrieben.